Nie macie pojęcia jak łatwo można odczytać dane karty płatniczej stojąc w kolejce. Historia którą Wam opiszę zdarzyła się naprawdę. Opiszę sytuację w której młoda dziewczyna, stojąc przede mną w kolejce pozwoliła sobie odczytać wszystkie dane z karty kredytowej (czy też płatniczej). I to nie jest pojedynczy przypadek – często, w sklepach, spotykam osoby które wyjmują karty płatnicze przed podejściem do kasy. Pewnie nie mogą się doczekać by jej użyć.
Akcja miała miejsce prawie rok temu. Stałem w kolejce w aptece po leki dla córki. Przede mną stała ona – jak się później okazało, miała na imię Justyna, wiek 24 lata.
Tytułowe zdjęcie jest jak najbardziej prawdziwe. Tak wyglądała opisana niżej sytuacja sklepowa. Oczywiście dane karty nie zostały użyte do przeprowadzenia jakichkolwiek transakcji on-line.
Jak odczytałem dane jej karty kredytowej?
Nie rozumiem tego jak można trzymać swoją kartę płatniczą (kredytową?) w ręku, w kolejce pełnej ludzi. I to w taki sposób, że odczytanie numeru karty wraz z danymi to kwestia dobrego zdjęcia lub bardzo dobrej spostrzegawczości? W taki sposób udało mi się wykorzystać sytuację by odczytać dane karty kobiety, która stała przede mną.
Pierwsze zdjęcie wyszło całkiem nieźle. Prawie wszystkie numery karty były widoczne, imię i nazwisko oraz data ważności karty. Dla pewności jeszcze zrobiłem kilka zdjęć by mieć pewność co do numeru i ważności karty. Pech chciał, że dziewczyna tak trzymała kartę, że nie mogłem odczytać jednej cyfry. Odgadnięcie jej to już prosta sprawa do zrobienia w domu na spokojnie.
Jak odczytałem jej kod CCV?
Co to jest kod CCV? Jest to kod bezpieczeństwa który podaje się podczas płatności on-line z użyciem karty kredytowej lub debetowej. W zależności od producenta karty są to 3 lub 4 cyfry.
Brakowało jeszcze jeszcze jednej, najważniejszej rzeczy – kodu CCV!
To co zrobiła za chwilę lekko mnie przeraziło – odwróciła kartę na drugą stronę, dzięki czemu mogłem odczytać kod CCV. Odczytanie kodu CCV nie stanowiło problemu – przecież to tylko trzy cyfry. Tutaj nie potrzebowałem żadnych zdjęć. Kod szybko zapisałem w telefonie.
Miałem już wszystko czego potrzebowałem.
Cała akcja odczytania danych karty płatniczej zajęła mi około 10-20 sekund.
Jak skompletowałem cały numer karty kredytowej?
Jak wspomniałem wcześniej, miałem problemy z odczytałem jednej cyfry. Na szczęście w internecie można znaleźć specjalne strony, które sprawdzą poprawność wpisanego numeru karty kredytowej. Do sprawdzenia miałem 10 cyfr. Skończyłem na 4 :). Szybko poszło. Nawet zgadzała się nazwa banku widniejąca na karcie.
Postanowiłem poznać Justynę bliżej
Na Facebooku. Wiedziałem jak wygląda, wiedziałem na jakiej dzielnicy miasta może mieszkać. Wpisałem jej imię, nazwisko oraz miasto na FB i … znalazłem ją. Młoda, 24-letnia żona i mama 3-letniego Igorka dla którego brała leki. Do tego ostatnie wakacje spędziła na Krecie z mężem – Przemkiem.
Ludzie naprawdę pokazują takie rzeczy publicznie na Facebooku. Trochę to przerażające.
Ty też chwalisz się wszystkim swoją kartą?
Nie powinieneś/nie powinnaś tego robić. Nigdy. Nie masz pojęcia kto za Tobą stoi w kolejce. Często w sklepach spotykam się z sytuacjami gdzie klienci kładą swoje karty (na jakieś 3-4 sekundy) na czytnikach kart płatniczych (płatność zbliżeniowa) a zabierają gdy usłyszą sygnał dźwiękowy. Przecież wystarczy stanąć obok i zacząć nagrywać film by móc odczytać dane z karty.
Inna sytuacja, całkiem niedawno w warszawskim metrze. Młoda dziewczyna, którą podróżowała z matką bardzo ładnie wymachiwała swoją kartą debetową mBanku. Chciałem wkroczyć do akcji, ale zaraz była moja stacja.
Wydaje mi się, że ludzie nie są świadomi tego co robią. Mam na myśli to, że brakuje im podstawowej wiedzy na temat bezpieczeństwa czy nawet z obsługi karty płatniczej. I co najstraszniejsze – są to osoby w różnym wieku starsi i młodsi. Szczególnie ci ostatni powinni być bardziej ogarnięci w tym temacie.
Jak nie dać się okraść?
Jak widać, odczytanie danych z Twojej karty nie jest takie trudne — potrzebne jest trochę czasu i szczęścia. Ktoś inny zrobiłby zakupy Twoją kartą lub by sprzedał dane na darknecie (specjalna część internetu w której lubią przebywać różni przestępcy). W USA większość transakcji by przeszła bez problemu telefonicznie (tak, tam można podać dane karty przez telefon np. podczas rezerwacji pokoju w hotelu – i jest to całkiem normalne SIC!). Co więcej, przy odrobinie jeszcze większego szczęścia można poznać swoją „ofiarę” bliżej.
- Przede wszystkim nie pokazywać swojej karty podczas, a szczególnie przed samą transakcją – np. zasłaniając swoje dane płacąc zbliżeniowo (np. dłonią).
- Zaklej czarną taśmą swój kod CCV! To dzięki niemu można płacić kartą. Bez niego, nawet jak ktoś odczyta Twoją kartę, to nic się nie stanie.
- Jeżeli Twój telefon obsługuje technologię NFC, to warto rozważyć płatności telefonem.
komentarze 3
Regulaminy banków wyraźnie zabraniają zapisywania kodu PIN na karcie a nawet przechowywania razem z nią. Kod CVV (zwany też CVC) przy płatnościach internetowych pełni taką samą rolę jak PIN w bankomacie lub terminalu. I tenże kod jest zapisany na karcie! Gdzie tu sens i logika???
Niekonsekwencji można doszukać się więcej. Żeby wysłać przelew nie wystarczy znać login i hasło, jeszcze trzeba potwierdzić operację hasłem jednorazowym, przeważnie wysyłanym SMS-em. Zatem potrzebujesz czegoś co znasz (dane do logowania) i czegoś co masz (telefon przy sobie). Tymczasem do wysłania komuś pieniędzy z karty płatniczej wystarczy tylko podać mu zestaw stałych danych (widocznych na karcie) i gotowe! Pewnie zaraz ktoś powie, że jest przecież 3D Secure. Owszem, jest tylko, że jest ono opcjonalne. Tak, dokładnie! To zależy od widzi-mi-się sklepu i agenta rozliczeniowego czy takie zabezpieczenie wdrożyć. Bywa nawet że w jednym tym samym sklepie 3D Secure raz działa a raz nie. Wiadomo, że złodziej, który układ kartę (lub dane z niej bo przecież karty nie trzeba fizycznie kraść) zapłaci, gdzie nie ma 3D Secure! PARANOJA!!!
O tym drugim pojawi się kolejny artykuł. Ciekawe rzeczy widziałem w USA. Tam to jest istne eldorado. Gdybym był tam kelnerem, to bardzo by mnie korciło … 😀